El spyware Pegasus se vuelve contra el sistema: los investigadores del PEGA se convierten en objetivos—¿qué implica para la supervisión de la UE?
Una nueva tanda de informaciones sostiene que el spyware Pegasus se utilizó contra figuras del Parlamento Europeo que investigaban abusos vinculados a herramientas de vigilancia comercial. En 2022 y 2023, el comité PEGA examinó cómo gobiernos de toda la Unión Europea desplegaron Pegasus de NSO Group tras revelaciones periodísticas. Ahora, investigadores citados por Cyberscoop y The Record afirman que alguien que supervisaba una investigación sobre spyware fue infectado con Pegasus, y que Stelios Kouloglou—un eurodiputado que formaba parte del comité que investigaba abusos del spyware comercial—habría sido infectado dos veces mientras ejercía el cargo. Los hallazgos, atribuidos a trabajos forenses de entidades como Citizen Lab y la Universidad de Toronto, sugieren que la propia investigación pudo haber quedado comprometida. Estratégicamente, esto supone un golpe directo a los mecanismos internos de rendición de cuentas de la UE y abre dudas sobre quién se beneficia de la opacidad de la vigilancia. Si Pegasus se desplegó contra personas encargadas de supervisar, el escenario apunta a actores vinculados al Estado que buscan proteger fuentes y métodos, o a un ecosistema más amplio de uso indebido capaz de alcanzar instituciones de la UE. El desequilibrio de poder es evidente: la capacidad investigadora de la UE depende de la confianza, de comunicaciones seguras y de la posibilidad de reunir pruebas sin represalias. En el relato, NSO Group aparece como habilitador central, mientras que la credibilidad del PEGA y su margen para impulsar medidas de cumplimiento podrían quedar debilitados. Para los Estados miembros y Bruselas, el coste político es alto porque la historia pasa de “abusos de otros” a “abusos que pueden alcanzar al vigilante”. Las implicaciones de mercado y económicas probablemente se concentren en ciberseguridad, cumplimiento de tecnologías de vigilancia y en la demanda de seguros y servicios forenses, más que en flujos de materias primas. Cabe esperar un aumento del gasto en herramientas de seguridad móvil, respuesta a incidentes y servicios forenses en instituciones de la UE y en empresas reguladas, con efectos en proveedores de seguridad de endpoints y detección de amenazas móviles. La señal financiera más inmediata sería el impacto en el sentimiento hacia compañías asociadas a cadenas de suministro de spyware comercial y hacia los presupuestos de cumplimiento y monitoreo en el sector público europeo. Aunque los artículos no mencionan tickers concretos, la dirección es clara: más demanda de ciberseguridad defensiva y mayor escrutinio regulatorio sobre proveedores de vigilancia pueden presionar modelos de negocio dependientes de ventas gubernamentales opacas. En paralelo, podría subir la prima de riesgo por incidentes cibernéticos vinculados a la UE, afectando cómo las aseguradoras fijan precios del seguro cibernético y cómo las corporaciones presupuestan controles de seguridad. Lo que conviene vigilar ahora es si las autoridades de la UE pueden atribuir las infecciones a operadores específicos y si logran asegurar evidencia sin nuevos compromisos. Indicadores clave incluyen informes forenses posteriores, cualquier acción formal del comité PEGA y posibles pasos de aplicación de la ley o judiciales vinculados a las infecciones de Kouloglou y del responsable de la investigación. Otro punto de activación será si los reguladores europeos aceleran licencias, controles de exportación o requisitos de transparencia para tecnologías de spyware comercial. En el corto plazo, el riesgo de escalada se relaciona con si más miembros del comité reportan infecciones o si fallos de seguridad en comunicaciones se extienden más allá de los casos iniciales. La desescalada requeriría atribución creíble, guías de contención rápidas y salvaguardas institucionales demostrables para impedir futuros ataques a personal de supervisión.
Implicaciones Geopolíticas
- 01
Undermines EU institutional credibility and raises the likelihood of retaliatory or protective surveillance by state-linked actors.
- 02
Forces the EU to confront the governance gap between commercial spyware vendors and member-state accountability.
- 03
May intensify EU-wide political pressure for stronger cyber/spyware regulation, affecting diplomatic leverage with technology-exporting states.
Señales Clave
- —New forensic attribution reports naming likely operators or jurisdictions behind the infections.
- —Formal PEGA Committee actions, subpoenas, or referrals to EU-level or national law enforcement.
- —Regulatory moves on spyware licensing, export controls, and mandatory incident reporting for affected institutions.
- —Additional infections reported by other committee members or EU officials, indicating broader targeting.
Temas y Palabras Clave
Inteligencia Relacionada
Acceso Completo
Desbloquea el Acceso Completo de Inteligencia
Alertas en tiempo real, evaluaciones detalladas de amenazas, redes de entidades, correlaciones de mercado, briefings con IA y mapas interactivos.